Datenschutz kann man nicht ernst genug nehmen

27. März 2018

Neue Datenschutzregeln

Datenschutz-Grundverordnung –  Was Unternehmen beachten sollten

Ab dem 25.05.2018 gilt die neue EU-Datenschutz-Grundverordnung 2016/679 (DSGVO).  Durch die neue Verordnung wird die derzeit noch geltende Datenschutzrichtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr abgelöst. Die Datenschutzgrundverordnung entfaltet dabei unmittelbare Wirkung in allen Mitgliedstaaten und somit auch für Unternehmen mit Sitz in Deutschland. Die Regelungen des bisher von Unternehmen zu beachtenden Bundesdatenschutzgesetzes (BDSG) werden weitgehend durch die Regelungen der Verordnung verdrängt.

Unternehmen müssen die Verarbeitung personenbezogener Daten den neuen Regelungen anpassen, da ansonsten empfindliche Strafen drohen können.

Wichtige neue Datenschutz Regelungen

Eine wichtige Neuerung der DSGVO im Vergleich zum bisher geltenden BDSG sind einige neue Begriffsbestimmungen.  Neu ist dabei ein der weitreichende Verarbeitungsbegriff gemäß Art. 4 Nr. 2 DSGVO. Die Dreiteilung - Erhebung, Verarbeitung, Übermittlung - wurde aufgehoben.  Die Definition des Auftragsverarbeiters wurde insoweit erweitert, als dass keine Beschränkung mehr auf die Auftragsverarbeitung im Europäischen Wirtschaftsraum vorliegt.  Neu sind auch die Definitionen für besondere Arten von Daten, wie "biometrische Daten" und "genetische Daten" (Art. 4 Nr. 12, 13 DSGVO). Unternehmen, die daher beispielsweise Gesichtserkennungs- oder Fingerabdrucksverfahren verwenden, sollten besonders die damit verbundenen neuen Vorschriften prüfen.

Die wichtigsten Neuerungen durch die Datenschutz-Grundverordnung im Vergleich zum geltenden Recht, welche Unternehmen beachten sollten, sind folgende:

  • Überprüfung des Anwendungsbereichs

Durch die neue Verordnung wird der Anwendungsbereich gem. Art. 3 DSGVO auf alle Verarbeitungen ausgeweitet, die sich an EU-Bürger richten und personenbezogene Daten von EU-Bürgern verarbeiten. So muss beispielsweise auch ein ausländisches Unternehmen, mit Sitz außerhalb eines Mitgliedstaates, die Verordnung beachten, wenn Waren an EU-Bürger im Online-Shop angeboten und dabei personenbezogene Daten verarbeitet werden.

Auch Suchdienste, also geldfreie Internetangebote, und soziale Netzwerke müssen die Datenschutz-Grundverordnung beachten.

  • Dokumente zur Erklärung der Einwilligung und des Widerrufs anpassen

Sofern keiner der in Art. 6 DSGVO definierten Fälle einer entbehrlichen Einwilligung vorliegt, ist die Verarbeitung personenbezogener Daten nur dann rechtmäßig, wenn eine entsprechende Einwilligung vorliegt. Die Anforderungen an die Einwilligungshandlung wurden durch die DSGVO erhöht. Nach Art. 4 Nr. 11 DSGVO erfordert die Erteilung der Einwilligung eine freiwillige, spezifisch informierte und eindeutige Handlung. Auf einer Website stellt daher das bewusste Anklicken eines Kästchens und die Auswahl technischer Einstellungen bei Online-Diensten eine den Anforderungen entsprechende Einwilligung dar. Keine wirksame Einwilligung ist dabei ein stillschweigendes Einverständnis- wie beispielsweise standardmäßig angekreuzte Kästchen auf Webseiten.

Unternehmen sollten effektive Prozesse zum Widerruf der Einwilligung einführen. Die Einwilligung muss jederzeit und ohne Begründung widerrufbar sein (Art. 7 Abs. 3 DSGVO). Dabei sollten die Regelungen der Datenschutz-Grundverordnung bei der Gestaltung von Webseiten, Apps und anderen digitalen Diensten  beachtet werden.

  • Kopplungsverbot beachten

Das in Art. 7 Abs. 4 DSGVO geregelte Kopplungsverbot wurde im Vergleich zum geltenden Recht verschärft. Nach Art. 7 Abs. 4 in Verbindung mit Erwägungsgrund 34 wird geregelt, dass der Abschluss eines Vertrages nicht von der Erteilung einer Einwilligung abhängig gemacht werden darf, obwohl dies für die  Durchführung eines Vertrages nicht erforderlich ist. Das bedeutet im Klartext: Eine „Werbeeinwilligung“ eines Kunden ist nicht erforderlich, damit Unternehmen die bestellte Ware liefern können und den Kaufpreis erhalten. In diesem Fall wäre die Einwilligung daher „nicht freiwillig erteilt“ und daher unwirksam.

Für die Praxis könnte das bedeuten, dass Unternehmen Ihre Dienstleistung/Waren einmal mit und einmal ohne Einwilligung anbieten müssen oder dass die Einwilligung erst nach Vertragsschluss vom Kunden abgegeben wird.

  • Datenschutzerklärungen anpassen

Durch die neue Datenschutz-Grundverordnung wurden die bisher bestehenden Informations- und Auskunftspflichten nach Art. 13 und Art 14 DSGVO erweitert. Unternehmen sollten daher überprüfen, ob die entsprechenden Informationen und Auskünfte bei der Erhebung und Verarbeitung personenbezogener Daten bereitgestellt werden.

So müssen beispielsweise nunmehr Informationen zur Rechtsgrundlage, auf die Unternehmen die Datenverarbeitung stützen und Angaben zur Dauer der Speicherung bzw. über Kriterien zur Festlegung der Dauer bereitgestellt werden. Zudem sind vor jeder Weiterverarbeitung der Daten zu einem anderen Zweck den Betroffenen erneute Informationen nach Art. 13 und Art. 14 DSGVO bereitzustellen.

  • Deutlicher Hinweis auf Widerspruchsrecht

Auch das Widerspruchsrecht wurde durch die neue Datenschutz-Grundverordnung erweitert. Unternehmen sollten ihre bestehenden Prozesse daher im Hinblick auf Art. 21 DSGVO überprüfen und entsprechend anpassen. So muss der Betroffene insbesondere Datenverarbeitungen zu Zwecken der Direktwerbung, einschließlich der Profilbildung für diese Zwecke, widersprechen können. In den Datenschutzerklärungen ist der Betroffene auf das Widerspruchsrecht deutlich und getrennt von jeglicher anderer Information hinzuweisen.

  • Gemeinsam für die Verarbeitung Verantwortliche

In Art. 26 DSGVO findet sich erstmals eine Regelung zu gemeinsam Verantwortlichen. Legen dabei zwei oder mehr Verantwortliche gemeinsam die Zwecke und Mittel der Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Dabei müssen die gemeinsam Verantwortlichen in einer Vereinbarung transparent festlegen, wer welche Verpflichtung entsprechend der Verordnung erfüllt.

  • Haftung des Auftragsverarbeiters im Außenverhältnis möglich

Nach Art. 82 Abs. 2 DSGVO ist erstmals eine Haftung des Auftragsverarbeiters im Außenverhältnis möglich, wenn er speziell den ihn auferlegten Pflichten aus der Verordnung nicht nachgekommen ist. Es ist somit eine gesamtschuldnerische Haftung auf Schadensersatz des Verantwortlichen und des Auftragsverarbeiters möglich. Daher sollten auch Datenverarbeiter eine schriftliche und elektronische Dokumentation ihrer Verarbeitungstätigkeiten führen, um dies auf Verlangen der Aufsichtsbehörde zur Verfügung stellen zu können.

 

Die Pflichten von Unternehmen, im Hinblick auf die Verantwortlichkeit von Datenverarbeitung, werden durch die Datenschutz-Grundverordnung erheblich erhöht. Unternehmen sollten daher effektive Systeme zur Umsetzung des Datenschutzes einführen bzw. bestehende Systeme anpassen. Insbesondere sollten Unternehmen Prozesse implementieren, die eine umfassende Dokumentation der datenschutzrechtlichen Umsetzung der Datenschutz-Grundverordnung ermöglichen, sodass auch gegenüber Aufsichtsbehörden nachgewiesen werden kann, dass geeignete Strategien und Maßnahmen ergriffen wurden. Unternehmen sollten daher genau dokumentieren, welche personenbezogenen Daten verarbeitet werden, woher Sie diese Daten erhalten haben und an wen sie diese Daten gegebenenfalls weitergeben.

Benötigen Sie weitere Informationen? Wir stehen Ihnen für Fragen gerne zur Verfügung.

Tel. 06202/859480       mail: info@rechtsanwalt-schwetzingen.de